Risque
Possibilité d'obtention de faux négatifs sur certains IDS.
Systèmes affectés
Les logiciels de détection d'intrusions suivant :
- CISCO NetRanger ;
- le module de détection d'intrusions des routeurs Catalyst 6000 ;
- Dragon sensor 4.x ;
- ISS realsecure Network Sensor 5.x, 6.x, avant XPU 3.2 et Server Sensor 6.0 et 5.5 pour Windows ;
- les versions de snort antérieures à la version 1.8.1.
Il est possible que d'autres systèmes de détection d'intrusions soient sensibles à cette vulnérabilité, contactez le distributeur de votre système.
Résumé
Certains IDS peuvent être leurrés par des codes malicieux utilisant un format unicode particulier.
Description
Certains IDS (Intrusion Detection System ou Système de Détection d'Intrusions) utilisent des « signatures » basées sur la recherche de chaines de caractères dans les paquets qui transitent sur le réseau afin de détecter l'occurence d'une attaque.
Un utilisateur mal intentionné peut créer un code malicieux utilisant un codage unicode particulier (que seuls les serveurs web Internet Information Server utilisent) dans une requête HTTP afin de tromper les IDS.
Solution
Appliquer les correctifs selon les systèmes :
- Cisco Secure Intrusion Detection System Sensor :
ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSK9-sp3.0-1.43-s6-0.43-bin
- Pour les autres produits CISCO, il faut avoir un contrat de maintenance :
http://www.cisco.com
- Tous les produits ISS :
http://www.iss.net/eval/eval.php
- Realsecure Network Sensor :
http://www.iss.net/db_data/xpu/RS.php
Documentation
- L'avis L-139 du CIAC :
http://www.ciac.org/ciac/bulletins/l-139.shtml
- L'avis Cisco :
http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-vuln-pub.shtml
